Squid e firewall [RESOLVIDO]
1. Squid e firewall [RESOLVIDO]
xlinux
(usa Ubuntu)
Enviado em 23/07/2015 - 16:59h
Boa tarde amigos,Meu squid com firewall com o seguinte erro, quando o usuário tira o proxy do navegador passa direto navega na net sem restrições. Isso quando o usuário está pegando ip via dhcp, o mais interessante que com os ips que são liberados, quando retiro o proxy funciona bloqueia, aparentemente está funcionando ao inverso. Alguém poderia da uma força??? vou posta-los aqui....
Firewall
#!/bin/bash
#Limpa todas as regras
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -F
# Cria regra default para Chains
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
# Carrega modulos do iptables
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_string
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
# Libera Rede Interna
iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -i eth0 -j ACCEPT
iptables -I INPUT -i eth1 -j ACCEPT
# Libera Logmein
iptables -A FORWARD -i eth1 -p tcp -d 216.52.233.0/24 --dport 443 -j ACCEPT
#Bloqueia a porta 80 pra toda rede como no exemplo abaixo:
# Bloqueio da Porta 80 TCP
iptables -A FORWARD -p tcp --destination-port 80 -s 192.168.1.0/24 -j DROP
#iptables -A FORWARD -p tcp --destination-port 443 -s 192.168.1.0/24 -j DROP
#iptables -A FORWARD -p tcp --destination-port 445 -s 192.168.1.0/24 -j DROP
#iptables -A FORWARD -p udp --destination-port 137 -s 192.168.1.0/24 -j DROP
#iptables -A FORWARD -p udp --destination-port 138 -s 192.168.1.0/24 -j DROP
#iptables -A FORWARD -p udp --destination-port 139 -s 192.168.1.0/24 -j DROP
#iptables -t nat -A PREROUTING -p tcp -i eth1 -p tcp --dport 80 -j REDIRECT --to port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -A FORWARD -t filter -j ACCEPT
iptables -A FORWARD -t filter -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#LIBERA DNS SERVER PARA A REDE
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
# LIBERA PORTA PARA CAMERA
iptables -t nat -A PREROUTING -j DNAT --to 192.168.0.191 -i eth0 -d 192.168.1.9 -p tcp --dport 7000
iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -s 0/0 -d 192.168.1.191 -p tcp --dport 7000
# Bloqueio ultra-surf
iptables -A FORWARD -p tcp -d 65.49.2.0/24 -j DROP
iptables -A FORWARD -p tcp -d 65.49.14.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 19769 -j DROP
##PROTECOES
# Protege contra port scanners avan?ados (Ex.: nmap)
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 20/m -j ACCEPT
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#BARRANDO ACESSO AO NTOP PARA O MUNDO E LIBERANDO PARA REDE INTERNA
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3000 -j DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3000 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 3000 -j ACCEPT
#iMesh:
iptables -A FORWARD -d 216.35.208.0/24 -j DROP
#Bloqueando os -:P2P:- (se voc? deseja utilizar um desses softwares, apenas retire o coment?rio # e substitua a condi??o de: REJECT, para ACCEPT)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6881:6889 -j DNAT --to-dest 192.168.1.250
iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889 -d 192.168.1.250 -j DROP
#BearShare:
iptables -A FORWARD -p tcp --dport 6346 -j DROP
#WinMX:
iptables -A FORWARD -d 209.61.186.0/24 -j DROP
iptables -A FORWARD -d 64.49.201.0/24 -j DROP
#Napigator:
iptables -A FORWARD -d 209.25.178.0/24 -j DROP
#Morpheus:
iptables -A FORWARD -d 206.142.53.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 1214 -j DROP
#KaZaA:
iptables -A FORWARD -d 213.248.112.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 1214 -j DROP
#Limewire:
iptables -A FORWARD -p tcp --dport 6346 -j DROP
#Audiogalaxy:
iptables -A FORWARD -d 64.245.58.0/23 -j DROP
iptables -A FORWARD -m string --string "find_node" --algo bm -j DROP
Squid
#squid.conf
#Autenticacao
auth_param basic children 5
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 10 minutes
authenticate_ttl 10 minutes
authenticate_ip_ttl 0 seconds
auth_param basic realm Autenticador, Digite seu Login e Senha.
auth_param basic children 5
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/shadow
#http_port 3128 transparent
http_port 192.168.1.250:3128
visible_hostname atenas
error_directory /usr/share/squid3/errors/Portuguese
#Diretorio do cache
cache_dir aufs /var/cache/squid3 4096 16 256
#Log
cache_access_log /var/log/squid3/access.log
#Porcentagem de atualizacao do cache -limpo ao atingir o maximo
cache_swap_low 85
cache_swap_high 90
#Memoria do cache
cache_mem 512 MB
#Usar o maximo de memoria possivel
#memory_pools on
#memory_pools_limit 2048 MB
#Tamanho maximo de arquivos alocados na RAM
maximum_object_size_in_memory 2048 KB
#Maximo e Minimo armazenados no disco
maximum_object_size 512 MB
minimum_object_size 0 KB
# Portas Liberadas
acl SSL_ports port 443
acl SSL_ports port 10000 # Webmin HTTPS
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 3306 # Cartago
acl Safe_ports port 82 # conectividade digital
acl Safe_ports port 81 # conectividade digital
acl Safe_ports port 3443 # Sped receita federal
acl Safe_ports port 3337 # Sped
acl Safe_ports port 3338 # Sped
http_access deny !Safe_ports
# ACL PARA CONEXAO METODO SSL
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
#ACLs PARA IP LIBERADO
acl ip_liberado src "/etc/squid3/ip_liberado"
http_access allow ip_liberado
# ACLs PARA SITES LIBERADOS
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"
http_access allow sites_liberados
# ACLs PARA SITES BLOQUEADOS
acl sites_bloqueados url_regex -i "/etc/squid3/bloqueados"
http_access deny sites_bloqueados
#ACL PARA BLOQUEAR PROXY ANONIMO
acl sites_proxy url_regex -i "etc/squid3/proxy"
http_access deny sites_proxy
#ACL PARA BLOQUEIO DE SPYWARES
acl sites_spywares url_regex -i "etc/squid3/spywares"
http_access deny sites_spywares
#ACL PARA BLOQUEIO EM BLOG E CHAT
acl sites_blogchat url_regex -i "/etc/squid3/blogchat"
http_access deny sites_blogchat
#ACL PARA BLOQUEIO DE MUSICAS
acl sites_musicas url_regex -i "etc/squid3/musicas"
http_access deny sites_musicas
#ACL STREAMING DE AUDIO E VIDEO
acl streaming req_mime_type ^video/x-ms-asf
acl proibir_musica urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$
http_access deny proibir_musica
http_reply_access deny streaming
#CONTROLE DE BANDA
acl liberado src "/etc/squid3/liberado"
acl limitado src "/etc/squid3/limitado"
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow liberado
delay_class 2 2
delay_parameters 2 1280000/1280000 1280000/1280000
delay_access 2 allow limitado
# Politicas para rede local
#http_access allow locanet
#http_access deny all
Alguma sugestão ficaria agradecido.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
pacotes 32 bit no void 64 bit (1)
erro ao clonar repo github (7)
ASRock H310CM-HG4 vs Linux (1)
Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (26)
Top 10 do mês
-
Xerxes
1° lugar - 72.721 pts -
Fábio Berbert de Paula
2° lugar - 58.115 pts -
Clodoaldo Santos
3° lugar - 44.947 pts -
Buckminster
4° lugar - 26.922 pts -
Sidnei Serra
5° lugar - 26.030 pts -
Daniel Lara Souza
6° lugar - 17.854 pts -
Mauricio Ferrari
7° lugar - 17.317 pts -
Alberto Federman Neto.
8° lugar - 17.274 pts -
Diego Mendes Rodrigues
9° lugar - 15.566 pts -
edps
10° lugar - 14.736 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
